Windows google java Android Python Ubuntu wordpress php nginx linux 微软 apache 编程 centos Firefox shell 开源 mysql 云计算 程序员

互聯網金融發展如何突破信息安全瓶頸?

20160802110221843.jpg

根據國家互聯網應急中心發布的《2015年中國互聯網網絡安全報告》顯示,2015年中國發生網絡安全事件超過12萬起,同比增長125.9%。另據中國權威第三方漏洞監測平臺烏雲報告顯示,2015年共發現互聯網金融行業的安全漏洞17521個,其中高危漏洞3121個,占比約17.8%,較2014年增長了約43.5%。在中國互聯網經濟領域,以P2P為代表的互聯網金融,最近幾年在市場需求和金融科技驅動下異軍突起。據世界著名的花旗銀行今年3月發布的報告顯示,中國目前是全球擁有P2P網貸平臺最多的國家, 2015年,中國互聯網金融業的客戶數量更是追平傳統銀行,突破了金融變革的臨界點。但由於起步晚,加上網絡安全意識不夠,資金投入不足,大多數互聯網金融平臺安全性令人堪憂。

互聯網金融發展遭遇安全挑戰

中國互聯網信息中心發布《第37次中國互聯網絡發展狀況統計報告》顯示,截至2015年12月,中國網民規模達到6.88億,互聯網普及率達到50.3%,中國居民上網人數已過半。同時,網民的上網設備正在向手機端集中,手機成為拉動網民規模增長的主要因素。另外,我國手機網民規模達6.20億,有90.1%的網民通過手機上網。其中,手機網上支付增長尤為迅速,手機網上支付用戶規模達到3.58億,增長率為64.5%,網民使用手機網上支付的比例由2014年底的39.0%提升至57.7%。而隨著大家對互聯網金融關註的提升和其本身規模的不斷壯大,原本的泛科技安全威脅漸漸波及至互聯網金融領域,尤其是國內的網絡安全技術平臺、安全防護機制尚不成熟,互聯網金融各方參與者對於數據安全、客戶信息安全的風險防患意識較弱,導致互聯網金融安全威脅頻發。

據統計到的數據顯示,互聯網金融中金融信息的風險和安全問題,主要來自互聯網金融黑客頻繁侵襲、系統漏洞、病毒木馬攻擊、用戶信息泄露、用戶安全意識薄弱,不良虛假金融信息的傳播、移動金融威脅逐漸顯露等幾個方面。其中危害最大的有兩點:一是,有組織有目的的金融黑客的犯罪行為。據業內觀察到的現象,這類金融黑客攻擊者由過去的單兵作戰,無目的的攻擊轉為以經濟利益為目的的、具有針對性的集團化攻擊。從敏感信息的收集與販賣,到偽卡制卡,甚至網銀木馬的量身定制,在網絡上都能找到相應的服務提供商,並且形成完整的以金融網絡犯罪分子為中心的”傳、取、銷”的經濟產業鏈。尤其是對目前剛剛興起的防範意識差、技術實力薄弱的互聯網金融平臺危害較大。二是,互聯網金融平臺自身的漏洞。當今的互聯網,病毒、蠕蟲、僵屍網絡、間諜軟件、DDoS猶如洪水般泛濫,所有的這一切都或多或少地從互聯網業務支撐系統漏洞走過。如Apache Struts 2遠程代碼執行漏洞,漏洞的爆發直接導致國內的多家銀行遭受惡意攻擊。

目前平臺方主要的應對措施

有業內人士介紹,有些平臺直接在網上購買較為廉價、安全性缺乏保障的網貸系統,這樣的平臺在安全局勢尤為緊張的互聯網金融領域,無異於“裸奔”,平臺安全岌岌可危。“一套這樣的網貸系統市場價在20萬元左右,這些系統存在大量風險漏洞。之前,也存在一個公司開發的網貸平臺系統受到攻擊,多家使用的平臺受影響的風險事件。主要原因在於,很多小平臺風險意識淡薄,只考慮如何做大規模、如何賺取利潤。同時,網貸平臺本身也有管理層結構問題。在這些小平臺,懂技術的不懂金融,懂金融知識的不懂網絡技術。”

相較於這些問題平臺,P2P行業唯一在美國紐交所上市的宜人貸則做的明顯專業太多。宜人貸平臺建設初期就對信息安全格外重視,每年都在信息系統安全建設上投入了大量的資源,來保障系統的安全、用戶的數據安全、隱私安全等,甚至還成立了宜人貸安全應急響應中心(Yirendai Security Response Center)--簡稱YISRC。宜人貸在應對安全威脅方面的做法其實可以歸納為兩點:第一點,加強自身平臺的信息系統等級保護建設,註重安全技術、安全人才的積累。第二點,借助外部力量,通過安全信息共享的方式防範威脅。宜人貸一直積極地在國內的主流漏洞報告平臺WooYun、漏洞盒子、補天等平臺上與白帽子保持溝通,並對及時發現宜人貸平臺漏洞的白帽子給予相應的獎勵。建立YISRC之後,宜人貸能夠更加集中地匯總白帽子的建議和反饋,以更加直接的溝通方式,幫助宜人貸在第一時間感知最新的安全威脅、修復漏洞。對此,宜人貸表示,作為中國互聯網金融海外上市第一股,宜人貸有責任樹立嚴格的信息安全標準,推動中國互聯網金融行業的網絡安全建設和發展。

未來尚需構建互聯網金融安全體系

業內專家表示,安全是一個整體,千萬不能盲人摸象般的防禦。理想的防禦是對所有的攻擊進行防護,但從組織資源限制等實際情況考慮,需要做“適度”的安全,即互聯網安全措施的級別要與商業價值相一致。互聯網金融安全不僅是技術問題,更是管理問題。不僅包括一般的安全問題,更包括業務安全問題。當前行業的普遍觀點是,雲計算的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網站有很大優勢,大數據安全應該是互聯網金融公司安全問題的重中之重。

此外,業內人士建議, P2P平臺可以通過各行業協會提出安全保障要求,“在未來國家正式的監管部門成立後,在監管時可以提出要求。大數據時代,數據涉及到個人信息越來越多,需要加強安全保護,數據安全要求規範立法的呼聲會越來越高,這方面的法律幾乎接近空白狀態。應先從公司的自律開始,逐漸建立行業的標準和規範”。安全建設實際上是對抗入侵的過程,只有加強各方面的合作力度,構建互聯網金融安全體系,才能使我們穩操勝券。

延伸阅读

    评论